J’ai fr\u00e9quemment lu sur Internet qu’utiliser les h\u00f4tes virtuels, en partageant le m\u00eame couple IP\/port par Apache sur SSL \u00e9tait impossible.<\/p>\n
La raison avanc\u00e9e est simple : les h\u00f4tes virtuels utilisent un champ de l’ent\u00eate de la requ\u00eate HTTP pour d\u00e9terminer quel est le site concern\u00e9 par la demande. Le probl\u00e8me qui g\u00eane le bon fonctionnement des h\u00f4tes virtuels, est que cette ent\u00eate est chiffr\u00e9e puisque l’envoi des ent\u00eates intervient apr\u00e8s la pr\u00e9sentation des certificats. Donc impossible d’identifier le site avant d’avoir envoy\u00e9 les certificats, alors que cet envoi de certificats requiert d’avoir choisi le site. La boucle est boucl\u00e9e, les d\u00e9butants arr\u00eatent de chercher sur les forums, et les achats d’IP suppl\u00e9mentaires augmentent chez les loueurs de serveurs d\u00e9di\u00e9s.<\/p>\n
C’\u00e9tait \u00e0 moiti\u00e9 vrai, c’est compl\u00e8tement faux maintenant. C’est le probl\u00e8me d’Internet : on revient rarement en arri\u00e8re corriger un vieux message sur les forums. Et les moteurs de recherche \u00e9tant ce qu’ils sont, de vieilles pages plus du tout actuelles peuvent tr\u00e8s bien remonter en haut des recherches.\u00a0 Mais je diverge.<\/p>\n
Donc malgr\u00e9 ce que vous pouvez lire, Apache est maintenant tout \u00e0 fait capable de g\u00e9rer les hotes virtuels en SSL.
\nComment ? Au choix :
\n1- Apache (du moins en version 2.3 ou dans la branche 2.2 depuis 2.2.12 gr\u00e2ce \u00e0 un backport) supporte les extensions SNI, qui permettent au navigateur de pr\u00e9senter le nom de domaine avant d’\u00e9tablir la connexion chiffr\u00e9e. L’usage de cette extension requiert un navigateur compatible, ce qui inclut tous les navigateurs r\u00e9cents mais exclut le diabolique IE6 (encore et toujours lui). C’est une solution id\u00e9ale si vous \u00eates pr\u00eats \u00e0 passer outre ce vieux navigateur qui n’a que trop servi.
\n2- En utilisant le plus r\u00e9cent TLS, au lieu de SSL, avec le probl\u00e8me \u00e9tendu de support par les navigateurs. Au passage, c’est la solution d’avenir, mais il vaut mieux l’oublier en attendant qu’il soit plus r\u00e9pandu.
\n3- Avec une solution plus vieille, qui a ses limitations, mais qui a fait ses preuves dans certains cas particuliers : un seul et m\u00eame certificat pour tous les sites. On comprend vite qu’avec cette m\u00e9thode, le probl\u00e8me \u00e9nonc\u00e9 en d\u00e9but d’article n’en est plus un. Alors que de base -pour une s\u00e9curit\u00e9 accrue- les certificats SSL sont sign\u00e9s \u00e0 destination d’un seul et unique nom de domaine, il existe donc des variantes permettant les domaines multiples. Vous avez au choix les co\u00fbteux certificats wildcard ou l’utilisation de l’extenstion altName. Je vais encore r\u00e9duire le spectre des solutions et choisir de parler ici du \u00ab\u00a0altName\u00a0\u00bb, qui nous autorise \u00e0 d\u00e9terminer des noms alternatifs pour notre serveur. Je n’ai pas trouv\u00e9 directement d’aides\u00a0 sur Internet couvrant ce sujet du d\u00e9but \u00e0 la fin avec des commandes simples qui se suffisent \u00e0 elles-m\u00eames. D’o\u00f9 ceci :<\/p>\n
Placez vous dans un r\u00e9pertoire de travail (que je vous laisse cr\u00e9er). On commence par une g\u00e9n\u00e9ration de cl\u00e9s 1024 bits si vous n’en avez pas d\u00e9j\u00e0 une :<\/p>\n
openssl genrsa -out server.key 1024<\/pre>\nOn copie ensuite le fichier de configuration d’openssl :<\/p>\n
cp \/etc\/ssl\/openssl.cnf .<\/pre>\nOn \u00e9dite ce fichier. Dans la section [req]<\/strong> on ajoute (ou d\u00e9commente) :<\/p>\n
[req]\nreq_extensions = v3_req<\/pre>\nDans la section [v3_req]<\/strong>, on ajoute alors la liste des domaines alternatifs sous cette forme :<\/p>\n
subjectAltName= DNS:domaine1.org, DNS:autrealternative.domaine1.org, DNS:encoreunautre.com<\/pre>\nMaintenant on g\u00e9n\u00e8re une requ\u00eate de signature. Si vous \u00eates riche, vous pouvez utiliser le fichier .csr ainsi g\u00e9n\u00e9r\u00e9 pour faire certifier votre domaine aupr\u00e8s d’un organisme de confiance comme Thawte ou Verisign. Cela \u00e9vitera les messages d’avertissement des navigateurs se connectant \u00e0 votre site s\u00e9curis\u00e9. Voici la commande pour cr\u00e9er cette requ\u00eate de signature :<\/p>\n
openssl req -new -out server.csr -key server.key -config openssl.cnf<\/pre>\nAu lieu d’envoyer votre demande chez les am\u00e9ricains, si vous \u00eates pr\u00e8s de vos sous et\/ou dans un cadre amateur, ne vous g\u00eanez pas pour auto-signer votre certificat :<\/p>\n
openssl x509 -req -in server.csr -out server.crt -signkey server.key -extfile openssl.cnf -extensions v3_req<\/pre>\nVoil\u00e0, vous avez ainsi dans votre r\u00e9pertoire de travail deux fichiers (la cl\u00e9 et le certificat) qui sont suffisants pour faire tourner votre Apache en mode s\u00e9curis\u00e9 !
\nN’oubliez pas d’activer mod_ssl dans Apache et d’ajouter dans votre configuration d’h\u00f4tes virtuels HTTPS les lignes suivantes :<\/p>\nSSLEngine on\nSSLCertificateFile <chemin>\/server.crt\nSSLCertificateKeyFile <chemin>\/server.key<\/pre>\nAvant de partir, prenez connaissances des limitations de cette solution :\u00a0 d’une part cette extension n’est pas reconnue par certains tr\u00e8s vieux navigateurs (mais, puisque m\u00eame l’horrible IE6 le fait, on va arr\u00eater les chipotages et remettre au placard Netscape…), et d’autre part tous vos sites alternatifs sont pr\u00e9sents dans le certificat en clair, ce qui veut dire que n’importe qui \u00e9tablissant la connexion SSL, peut savoir que ces sites existent sur votre machine.<\/p>\n","protected":false},"excerpt":{"rendered":"
J’ai fr\u00e9quemment lu sur Internet qu’utiliser les h\u00f4tes virtuels, en partageant le m\u00eame couple IP\/port par Apache sur SSL \u00e9tait impossible. La raison avanc\u00e9e est simple : les h\u00f4tes virtuels utilisent un champ de l’ent\u00eate de la requ\u00eate HTTP pour d\u00e9terminer quel est le site concern\u00e9 par la demande. Le probl\u00e8me qui g\u00eane le bon […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8],"tags":[11,19,45],"_links":{"self":[{"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=\/wp\/v2\/posts\/97"}],"collection":[{"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=97"}],"version-history":[{"count":0,"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=\/wp\/v2\/posts\/97\/revisions"}],"wp:attachment":[{"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=97"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=97"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mmed.roulleau.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=97"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}